IT-Sicherheit outsourcen mit Managed Security Services

Managed Security Services (MSS) erlebten besonders nach der Finanzkrise einen Boom, da sie Kosteneinsparungen ermöglichten. Dazu erleichtern sie es den Sicherheitsverantwortlichen, sich gegen ständig wandelnde Bedrohungen durchzusetzen. MSS-Anbieter stellen Expertenwissen zur Verfügung, das sich viele IT-Abteilungen aus mangel an Ressourcen gar nicht leisten könnten.

Die Cyberkriminellen werden immer erfinderischer und legen ein Tempo an den Tag, mit dem firmeneigene Fachleute kaum Schritt halten können. Spezialisierte Sicherheitsanbieter, die im Gegensatz zur Unternehmens-IT ihre ganze Energie auf die Abwehr von Gefahren verwenden können, sind hier klar im Vorteil.

Außerdem haben IT-Sicherheitsprofis in Unternehmen schwer zu kämpfen mit immer neuen Techniken, die es zu schützen gilt. So geht aus einer Studie der (ISC)2 hervor, dass mittlerweile in vielen Unternehmen Private Clouds im eigenen Rechenzentrum oder SaaS-Angebote im Einsatz sind. 70 Prozent der Studienteilnehmer erklärten, mehr und andere Fähigkeiten zu benötigen, um diese Cloud-Umgebungen sicher betreiben zu können.

Da bietet es sich an, diesen Teil der IT einem Dienstleister anzuvertrauen und die Kosten zu drosseln, indem die vorhandenen Mitarbeiter sich anderen, weniger kleinteiligen Aufgaben als dem Auswerten von Firewall-Logs zuwenden können. Wie der Softwarekonzern Symantec in einer Umfrage herausfand, sehen 61 Prozent der befragten Firmen in Managed Security Services eine Möglichkeit, die beschriebenen Schwierigkeiten in den Griff zu bekommen. Auch für mittelständische Kunden gibt es inzwischen zahlreiche Angebote, die speziell an deren Bedürfnisse angepasst sind.

Dabei ist das Überwachen kompletter Kundennetzwerke aus der Ferne sehr gefragt bei Mittelständlern. Alle PCs, Notebooks, Firewalls, Server und andere wichtige Komponenten liegen so in der Verantwortung des MSS-Anbieters. In der Regel fühlen sich solche Kunden mit diesen Diensten wohl, die maximal 50 Server im eigenen Rechenzentrum betreiben. Ebenfalls weit oben auf der Wunschliste der Kunden: Spam-Filterung und kostengünstiges Online-Backup.

10 Tipps für Ihre Sicherheit
Das Thema Sicherheit wird in Firmen oft noch bagatellisiert. Lesen Sie hier, wie Sie das Risiko einfach senken können.

Tipp 1: Führen Sie eine Risikoanalyse durch
Es gibt zwar keine absolute Sicherheit, aber Planung ersetzt den Zufall und den Unfall durch Irrtum. Durch eine Risikoanalyse erlangen Sie selbst zumindest etwas Klarheit über mögliche Gefahren, und gehen nicht blind und ungeschützt Risiken ein. Wertvolle Hinweise auf was Sie dabei achten müssen, erhalten Sie zum Beispiel über http://www.nifis.de (NIFIS-Siegel) oder über das Bundesamt für Informationssicherheit (BSI). Auch ein Blick in das Bundesdatenschutzgesetz (BDSG), speziell §9 und dessen Anlage helfen weiter.

Tipp 2: Informationssicherheit beginnt von oben
Vorgesetzte müssen in punkto Informationssicherheit voranschreiten und eine Vorbildfunktion erfüllen. Allerdings dürfen die Mitarbeiter nicht überrannt und mit Vorschriften "drangsaliert" werden. Vielmehr müssen ihnen Sicherheitsgefahren und -probleme immer wieder angemessen bewusst gemacht werden. Die Maßnahmen sollten dabei benutzerfreundlich und fehlertolerant sein. Mitarbeiter dürfen dies nicht als bloße Schikane empfinden.

Tipp 3: Passwörter und Benutzernamen einrichten
Diese Forderung nach dem Einrichten von Passwörtern und Benutzernamen für den Rechnerzugang ergibt sich schon alleine aus dem Bundesdatenschutzgesetz (Nummer 5 der Anlage zum §9 BDSG) und den Regeln der ordnungsgemäßen Buchführung. Je größer die Mindestlänge ist, desto sicherer ist das Passwort. Beachten Sie aber, dass zu viele Stellen oder die Forderung nach sehr kryptischen Passwörtern eher kontraproduktiv ist, wenn aus technischer Sicht auch wünschenswert.

Tipp 4: Virenscanner und Firewall sind ein Muss
Ohne Virenscanner und mindestens eine Firewall zwischen Internet und Intranet darf heute kein IT-System mehr betrieben werden. Denken Sie auch daran, dass diese Systeme auf jedem Rechner aktuell vorgehalten werden und regelmäßig kontrolliert werden müssen. Darüber hinaus sollten Unternehmen nicht von der irrigen Annahme ausgehen, dass der alleinige Einsatz dieser Systeme ihre Datenverarbeitung und geschäftskritischen Anwendungen sicher macht. Diese Maßnahmen heben die Angriffshürde zwar an, verhindern aber eben nicht alle Arten von Attacken.

Tipp 5: Daten regelmäßig sichern
Informationssicherheit ist nicht nur der Schutz vor Angriffen, sondern auch das Sicherstellen der Betriebsfähigkeit des Unternehmens. Datenverluste können zum Beispiel auch durch Hardwareschäden auftreten oder durch Unachtsamkeit. Sorgen Sie daher für kontinuierliche Datensicherungen, deren Funktionsfähigkeit ebenso regelmäßig überprüft werden muss, zum Beispiel durch Restore-Versuche. Firmen sollten ferner der Versuchung widerstehen, die Datensicherungen im Serverraum zu lagern.

Tipp 6: Erstellen Sie einen Notfallplan
In einem Notfallplan sollten Firmen klar regeln, welche Maßnahmen in welchem Schadens-, Fehler- oder Angriffsfall von wem unternommen werden. In diesem Notfallplan sollten ferner alle wichtigen Telefonnummern stehen, zum Beispiel die des IT-Dienstleisters oder Hardwarelieferanten. Nur wenn vorher definiert ist, wer was wann macht und machen darf, ist eine schnelle und verlustarme Reaktion auf Vorfälle möglich.

Tipp 7: Private E-Mail- und Web-Nutzung regeln
Unternehmen sollten für die private E-Mail- und Web-Nutzung ihrer Mitarbeiter auf Basis der Firmeninfrastruktur gemeinsam mit dem Betriebsrat eine entsprechende Betriebsvereinbarung erstellen. Der Ausschluss der privaten Nutzung ermöglicht weitgehende Filtermöglichkeiten, um Angriffswege über E-Mail oder infizierte Web-Seiten zu verhindern.

Tipp 8: Mobile Datenträger absichern
Mobile Datenträger wie Laptops, USB-Sticks oder auch Smartphones sind notwendige Arbeitswerkzeuge, die in der IT-Security-Strategie des Unternehmens unbedingt Berücksichtigung finden müssen. Ein Verbot wäre wenig sinnvoll. Unternehmen sollten diese Geräte aber vor Verlust unter dem Aspekt der mobile Security sichern. Dies geschieht am einfachsten durch Verschlüsselung der Datenspeicher, soweit möglich.

Tipp 9: Server und Netzwerk schützen
Die physikalische Infrastruktur ihres Unternehmens, das heißt, Server, Netzwerk, etc., sollte der Wichtigkeit entsprechend gesichert sein. Ein Server in der Besenkammer lädt zum Missbrauch ein. Auch ist eine sichere Betriebsumgebung schon alleine aus technischen Gründen notwendig. Firmen sollten auch überdenken, welche Personenkreise Zugang zu diesen Räumen haben sollen. Der "normale" Mitarbeiter benötigt keinen physikalischen Zugriff auf die Server, externe Wartungstechniker sollten überwacht werden.

Tipp 10: Zugriffsregel erleichtern Adminstration
Das Erstellen von Zugriffsregeln für Firmendaten auf den Servern fordert schon Punkt 3 der Anlage zum § 9 BDSG. Es ist aber auch nicht einzusehen, wieso jeder Mitarbeiter Zugriff auf alle Daten haben soll. Unternehmen sollten deshalb klare Sicherheitskonzepte mit Gruppenregeln definieren, welche die Administration vereinfachen.

Sicherheit aus dem Baukasten

Diese Dienste gibt es bei Unternehmen wie Message Labs (Anti-Spam) oder Verio Europe (Online-Backup) von der Stange und somit preisgünstig. Aber auch Angebote wie das Überwachen kompletter Infrastrukturen gibt es schlüsselfertig. Anbieter wie GFI oder Kaseya schnüren Software- und Dienstleistungspakete für Systemhäuser, die diese wiederum an ihre (mittelständischen) Kunden verkaufen können. An die Endkunden direkt vertreiben die genannten Anbieter nicht.

Sowohl GFI als auch Kaseya sind unter anderem auf Monitoring-Lösungen zum Überwachen ganzer Netzwerke spezialisiert. Verändert sich einer der überwachten Parameter - dazu gehören Punkte wie Festplattenplatz auf einem Server oder der Zustand der Firewall oder des E-Mail-Servers -, schlägt die Software Alarm. Dieser Alarm rüttelt in diesem Fall aber nicht die IT-Mannschaft des Kunden wach, sondern geht beim Systemhaus ein, das den Managed Service erbringt. Je nach Schweregrad des Alarms wird dann ein Vor-Ort-Einsatz beim Kunden veranlasst.

Dadurch, dass die Systemhäuser auf professionelle Produkte und Dienste zurückgreifen, ergibt sich auch für den Kunden ein Vorteil: die so erzielbare hohe Verfügbarkeit. So ist sichergestellt, dass die Alarmzentrale erreichbar ist und die Alarmauswertung an die zuständigen Betreuer geleitet wird.

Platz 10: HitmanPro
Das Sicherheits-Tool HitmanPro bietet einen Virenschutz unter Windows. Dabei verwendet die Software nicht nur die Scan-Engine eines Herstellers, sondern Cloud-basierend bindet HitmanPro gleich fünf Antivieren-Engines ein. Das Tool arbeitet als On-Demand-Scanner, Konflikte mit installierten Sicherheitslösungen sind somit kaum gegeben. HitmanPro muss praktischerweise auch nicht installiert werden, es genügt der Start der ausführbaren Datei. Damit lässt sich die Sicherheits-Software auch portabel auf USB-Sticks verwenden. Der Anbieter SurfRight bietet HitmanPro als kostenlose Testversion für 30 Tage an. Die Vollversion ist kostenpflichtig. HitmanPro eignet sich für alle Windows-Version ab XP. Auch Windows 8 wird bereits unterstützt.

Platz 9: Sticky Password
o werden auch Keylogger umgangen, die die Logins einzelner Dienste protkollieren wollen. Ein integrierte virtuelle Tastatur verhindert die Ausspähung des Hauptkennworts. Auch eine iPhone App ist mittlerweile verfügbar, allerdings nur für die PRO-Version. Die Benutzeroberfläche ist in mehreren Sprachen, darunter auch Deutsch erhältlich, Probleme bei der Konfiguration sollte es also keine geben. Im Kaufpreis sind Support, eine Updategarantie sowie eine portable Version der Anwendung enthalten. Sticky Password funktioniert mit jeder aktuellen Windows-Version.

Platz 8: Secunia PSI
Der Secunia Personal Software Inspector, kurz Secunia PSI, ist ein Programm, um den Update-Status eines PCs zu überwachen und bei veralteter oder gar fehlerbehafteter Software Alarm zu schlagen. So ist es möglich, stets einen Überblick auf die potentiellen Schwachstellen des Systems zu behalten und die reale Gefahrenlage ein Stück weit besser einschätzen zu können. Auch die Patches selbst werden mit Secunia PSI leichter: Aus der programminternen Datenbank wird für gewöhnlich sofort ein Link zum neuesten Update bezogen, das sich mit wenigen Klicks installieren lässt. Hiermit wird ein großer Nachteil der Windows-Welt, in der sich nur das Betriebssystem selbst, nicht aber die Anwendungen gesammelt aktualisieren lassen, ausgebessert. Über die Funktion "Auto Update" wird dieser Vorgang noch einmal deutlich erleichtert. Hierbei übernimmt der Personal Software Inspector selbstständig sämtliche Arbeiten. Das Interface ist sehr unkompliziert und minimalistisch geraten, und störende Steuerelemente oder komplexe Menüs geraten nicht in den Weg des Anwenders. Mit der für Unternehmen entwickelten Sicherheitslösung Secunia CSI arbeitet das Tool außerdem anstandslos zusammen. Die aktuelle Version von Secunia PSI ist in der Lage, sich selbst zu aktualisieren, so dass Ihnen Update-Stress und Ärger erspart bleiben. Secunia PSI ist anders als die CSI-Suite nur für Windows verfügbar, dafür aber kostenlos. Das Programm kann in fünf verschiedenen Sprachen beim Hersteller heruntergeladen werden.

Platz 7: BoxCryptor
Daten in der Cloud zu sichern mag komfortabel sein, um die Sicherheit der Daten ist es jedoch oft schlecht bestellt. BoxCryptor soll hier durch besonders wirksame Verschlüsselungstechniken Abhilfe schaffen. Diese setzen auf Cloud Storage auf, wobei mehrere Dienste von Google SkyDrive über Amazon S3 bis Dropbox unterstützt werden. BoxCryptor existiert in zwei verschiedenen Versionen, als Desktop-Programm für Windows, Mac und Linux sowie als iOS- und Android-App. Auf dem PC lässt sich das Programm sehr leicht verwenden. Die zu sichernden Daten legt man in einem virtuellen Ordner ab, der mit dem sehr sicheren AES-256-Algoritmus verschlüsselt und mit einem Passwort versehen wird. Unter Windows kann BoxCryptor auch ein virtuelles Laufwerk mit frei wählbarem Buchstaben auf dem Rechner anlegen. Alle Daten, die dort abgespeichert werden, werden automatisch verschlüsselt und sind so vor Fremdzugriff geschützt. Auf den Mobilgeräten sieht es leider etwas unkomfortabler aus, denn hier muss BoxCryptor selbst als App gestartet werden und lässt sich nicht transparent ins Dateisystem einbinden. Positiv ist in jedem Fall zu erwähnen, dass das entwickelnde Unternehmen seine Lizenzpolitik deutlich aufgeweicht hat. So war der Dienst bisher ab zwei GByte kostenpflichtig, außerdem musste für die Apps ebenfalls bezahlt werden. Diese Beschränkungen fallen seit einiger Zeit vollständig weg. Als Alternative ist der bis 5 GByte kostenlose Dienst Wuala zu erwähnen, der bereits von Hause aus eine Vollverschlüsselung des Nutzerverzeichnisses anbietet.

Platz 6: Nmap
fer an ein System versucht wird, dessen Betriebssystem zu erkennen. Dies liefert wichtige Informationen zu potentiellen Schwachstellen. Auch Gegenmaßnahmen zur Erkennung durch Administratoren sind implementiert, etwa das sogenannte Stealth Scanning. Die Analyse eines Netzwerks kann auch über die integrierte Nmap Scripting Engine NSE automatisiert werden. Hierfür bringt das Programm eine umfangreiche Sammlung von Beispielskripten mit, die auch parallel eingesetzt werden können. Nmap wird normalerweise ohne grafische Interface betrieben, doch insbesondere die Portierung nach Windows verlangte nach einem solchen. Will man sich also nicht mit der Kommandozeile plagen, kann man auf die GUI Zenmap zurückgreifen. Der Einsatz in modernen Netzwerken ist im Übrigen dank seit der Version 6 voll implementierter IPv6-Unterstützung kein Problem.

Platz 5: Stegano.Net
Stegano.net ist ein kostenloses Steganografie-Tool für Windows XP, Windows Vista und Windows 7. Steganografie ist die Technik, beliebige Daten in einer Menge an größeren, unauffälligen Daten beliebigen Typs zu verstecken. Stegano.Net implementiert seit der Version 2.0.1.0 aus dem Kreis dieser Methoden das Verstecken von beliebigem Text und von Dokumenten in Bilddateien in den Formaten JPG und PNG. Zwar hat Steganographie ein Grundproblem, nämlich dass bei Kenntnis der Methodik die versteckten Daten problemlos zurückgewonnen werden können, doch dies umgeht Stegano.Net, indem die zu versteckenden Daten zuerst verschlüsselt werden. Leider erwähnt der Autor nicht, welche Algorithmen für die Verschlüsselung und das Verbergen der Nachricht zum Einsatz kommen, die Sicherheit der eingebetteten Informationen ist also letztlich ungewiss. Doch für hochkritische Daten, die in jedem Fall analysiert werden, ist Steganografie mithilfe von Bildern ohnehin nicht geeignet. Für weniger problematische Anwendungen oder schlicht den Spaß für zwischendurch reicht Stegano.Net aber allemal. Entsprechend leicht ist das Tool auch zu bedienen: Ein-Klick-Installation, selbsterklärende Schaltflächen, weniger Optionen und ein einfaches Interface eröffnen das Programm jedem potentiellen Nutzer. Dieser muss lediglich die Container-Datei angeben, bei Wunsch die Verschlüsselung mit Passwort aktivieren und den zu verschlüsselnden Text angeben. Ein Klick auf "Verbergen" versteckt die Daten, ein Klick auf "Sichtbar machen" zeigt sie wieder an.

Platz 4: Sandboxie
Installationsprozess eines Programms berwachen, um es dann in eine Sandbox zu verkapseln. Bedient wird es durch eine einfache Oberfläache, die durch ein Tray-Icon gestartet wird. Sie enthält auch einen Dateimanager, der die während des Betriebs der Sandbox virtuell veränderten Dateien auflistet. Außerdem lassen sich hier alle Inhalte der Sandbox löschen, um sie wieder in den Nullzustand zurückzuversetzen. So lassen sich Sicherheitsrisiken minimieren und neue Programme gefahrlos und ohne das Risiko von dauerhaften Performance-Verlusten testweise installieren.

Platz 3: Offline NT Password
Das Tool Offline NT Password ist ein kostenloses Konsolenwerkzeug, mit dem Administratoren Windows-Passwörter zurücksetzen können. Man sollte das Tool chpwnt eigentlich nicht sehr oft benötigen. Allerdings wird der eine oder andere Administrator froh sein, die kostenlose Software zur Hand zu haben. Hübsch ist es nicht, dafür funktioniert es tadellos und tut genau das, was von ihm verlangt wird. Offline NT Password unterstützt Windows von der Verson NT 3.5 bis hin zu Windows 7 und 2008. Auch bei den 64-Bit-Versionen von Windows funktioniert das Tool

Platz 2: LastPass
LastPass hebt sich deutlich vom großen Markt der Passwort-Tresore ab. Das System vertraut vollständig auf die Cloud, in der sämtliche Passwörter verschlüsselt abgespeichert werden. Zwar lässt sich dies auch manuell umsetzen, indem etwa die Passwortdateien von KeePass online abgelegt werden, doch LastPass erweitert diesen Ansatz deutlich. Erstens werden die Passwörter sowohl online als auch offline in mehrere Backups abgelegt, sind also auch bei einem Geräteausfall und einer versehentlichen Löschung sicher. Außerdem bietet das Programm eine große Vielfalt von Plugins für Browser, Desktop-Programme sowie Smartphone-Apps. Auf diesem Weg lässt sich beinahe jede Passworteingabe durch LastPass abfangen und automatisch bei dem Dienst speichern, wie man es beispielsweise von den integrierten Passwortmanagern von Browsern kennt. Die erneute Eingabe der Passwörter geschieht dann plattformübergreifend auf allen Systemen mit LastPass-Integration. Unabhängig davon, ob momentan ein Windows-PC, ein Mac, ein Linuxrechner oder ein mobiles Betriebssystem verwendet werden, muss nur das aktuelle Masterpasswort eingegeben werden, und LastPass sendet das Login automatisch. Dem gegenüber muss bei anderen Cross-Platform-Managern der Nutzername und das Kennwort meist manuell kopiert und eingefügt werden. Selbst bei der Anmeldung an diversen Diensten greift LastPass ein und generiert auch für den unwichtigsten Account ein starkes Passwort. Diverse Zusatzfunktionen wie etwa eine virtuelle Tastatur zur Abwehr von Keyloggern, ein Importmodus für Passwörter anderer Manager oder ein Notiztresor sind ebenfalls dabei. Die Grundversion von LastPass ist kostenlos, will man hingegen fortgeschrittene Funktionen wie die Mobil-Apps verwenden, fällt ein geringer jährlicher Beitrag an.

Platz 1: KeePass
KeePass ist der wohl bekannteste digitale Safe für vertrauliche Informationen aller Art. Insbesondere ist die Software dazu gedacht, Passwörter, PINs, TANs und ähnliche Zugangsinformationen abzuspeichern und zu verwalten. Hierfür legt das Programm eine mit AES stark verschlüsselte Datenbank mit einem SHA256-gehashten Hauptpasswort an. Auch die anderen Sicherheitsfeatures sind eine Erwähnung wert: Die Passwörter werden auch innerhalb des Speichers verschlüsselt gehalten, sodass eine Auslagerung des RAM auf die Festplatte keine Konsequenzen hat, und auch die Eingabe des Hauptpassworts kann gegen Keylogger gesichert werden. Alternativ kann ein Keyfile zum Einsatz kommen, für weiter gesteigerte Sicherheit können die Methoden auch kombiniert werden. Praktisch ist darüber inaus, dass KeePass portabel ist - insbesondere bei einer derartigen Anwendung ist das ausgesprochen praktisch, um Zugangsdaten auf mehreren PCs verwenden zu können. Ähnlich verhält es sich mit der Passwortdatenbank: Diese besteht nur aus einer Datei, kann also bequem zu Online-Diensten wie Dropbox geliefert werden. Dort lässt sie sich mit den diversen Versionen von KeePass weiterverarbeiten, denn das Programm ist explizit plattformkompatibel ausgelegt. Die mit "Professional" bezeichnete PC-Version ist mit Mono-Unterstützung geschrieben, läuft also neben Windows auch auf allen anderen Mono-Plattformen (Mac OS X, Linux, BSD), und auch für diverse mobile Systeme existieren Clients. Auch der Komfort kommt übrigens nicht zu kurz: Passwörter können zum Beispiel vollautomatisch auf passenden Websites eingetragen werden, und die Datenbanken anderer Passwortsafes lassen sich leicht importieren. Außerdem ist ein Plugin-System vorgesehen. Einzig eine vollautomatische Synchronisierung der Passwortdatenbank lässt das Programm leider vermissen. KeePass ist Open Source und damit kostenlos auf der Seite des Teams erhältlich.

Gängige Preis-Leistungs-Modelle

In der Regel bekommen Kunden Pakete mit unterschiedlichen Leistungsklassen zum Festpreis. Die Kosten sind also planbar, die jeweilige Leistung auch. Gängig sind unterschiedliche Preis- und Leistungsmodelle wie:

• Ein einfaches Überwachen von E-Mail-Server und Backup-System zum Mindestpreis. Fällt nichts Ungewöhnliches vor, bekommt der Kunde einmal pro Monat einen professionell gestalteten Report.

• Die mittlere Ausbaustufe bringt beispielsweise noch das Monitoring der Aktualität der beim Kunden installierten Antivirensoftware und einen Check, ob alle notwendigen Software-Updates für Windows und die darauf installierten Anwendungen installiert wurden. Die Reports werden wöchentlich abgegeben.

• Das Rundum-Sorglos-Paket bietet noch ein Inventarisieren aller Infrastrukturkomponenten, wertet die Füllstände von Serverfestplatten sowie die Drehzahlen von Gehäuse- und Prozessorlüftern aus und beinhaltet auch den eventuell notwendigen Vor-Ort-Service.

• Abgerechnet wird je nach Anbieter pro Server und Monat oder pro installierten Agenten (Client oder Server). Der Preis pro Agent richtet sich zumeist nach der Zahl der überwachten Funktionen.

Datenschutz und Datensicherheit
Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten.

Fachliche Anforderungen
Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen?

Fachliche Anforderungen
Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet?

Fachliche Anforderungen
Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben?

Die Technik für Datenschutz und -sicherheit
Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert?

Die Technik für Datenschutz und -sicherheit
Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann?

Die Technik für Datenschutz und -sicherheit
Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert?

Die Technik für Datenschutz und -sicherheit
Werden alle Passwörter verschlüsselt übertragen?

Die Technik für Datenschutz und -sicherheit
Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle?

Die Technik für Datenschutz und -sicherheit
Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?

Transaktionen im Internet
Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion?

Transaktionen im Internet
Liegen Verisign-Zertifikate vor?

Transaktionen im Internet
Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren?

Sicherheitsmonitoring
Werden erfolgreiche und fehlgeschlagene Logins dokumentiert?

Sicherheitsmonitoring
Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?

Interoperabilität mit On-Premise-Anwendungen
Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders?

Interoperabilität mit On-Premise-Anwendungen
Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie?

Gesetzliche Anforderungen
Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)?

Gesetzliche Anforderungen
Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind?

Gesetzliche Anforderungen
Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden?

Gesetzliche Anforderungen
Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind?

Gesetzliche Anforderungen
Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?

Unterschiedliche Ansätze, gleiches Ziel

An sich kann es dem Kunden von Managed Services ja egal sein, wie die Diensteanbieter das Versprochene umsetzen und einhalten. Dennoch ist ein Blick auf die technischen Details vielleicht ganz erhellend. GFI nutzt bei seinem Max Remote Management eine Mischung aus Agenten, die lokal auf Servern und PCs/Notebooks zu installieren sind, und einem von GFI selbst (und nicht etwa dem Systemhaus) betriebenen Server. GFI garantiert ständige Erreichbarkeit des Servers. Fiele dieser aus, würden Alarme nicht erkannt, und die lokalen Partner könnten die dem Kunden versprochenen Reaktionszeiten nicht einhalten.

GFI sorgt auch dafür, dass der Reporting-Server immer die aktuellen Versionsstände von allen gängigen Antivirenprogrammen kennt. Nur so kann erkannt werden, ob die Signatur der AV-Anwendung auf einem Client oder Server beim Kunden veraltet ist. Ähnliches gilt für Windows-Sicherheits-Updates.

Der Systemhauspartner konfiguriert auf diesem Reporting-Server alle für den jeweiligen Kunden wichtigen Schwellenwerte: Ab welchem Füllstand beziehungsweise ab wie vielen belegten GByte wird bei Serverfestplatten alarmiert, was passiert bei Backup-Fehlern? Die Angabe des Speicherplatzes in absoluten Zahlen hat den Vorteil, dass aus dem Ruder laufende Datensicherungen rechtzeitig erkannt werden. Ebenso als Indikator dienen Angaben über die sich verändernde Drehzahl von Lüftern. Vorteil für den Kunden: Sein Partner warnt ihn aktiv, bevor ein handfestes Problem entsteht. Dies setzt natürlich voraus, dass das Systemhaus die Werte auch zu deuten weiß.

GFI Max Remote Management wertet zusätzlich zu den von den Agenten gelieferten Statusmeldungen auch SNMP-Traps beliebiger anderer Geräte wie Drucker aus. Auch Linux-basierte Server und PCs oder Firewalls lassen sich so unabhängig vom Windows-Agenten erfassen.

Systemhäuser, die mit Kaseya zusammenarbeiten, betreiben den Status-Server selbst. In diesem Fall ist also das Systemhaus dafür verantwortlich, dass die Meldungen der Agenten zuverlässig erfasst werden.

Auch die rechtliche Sicherheit gewinnt

Abseits aller finanziellen Anreize, die Managed Security Services bringen mögen, helfen sie auch beim Erfüllen von rechtlichen und regulatorischen (Compliance-)Notwendigkeiten. Hierzulande schreibt das Gesetz Geschäftsführern, Vorständen und Aufsichtsräten etliches vor in Sachen IT-Sicherheit: wirksame Schutzmaßnahmen gegen (Hacker-)Angriffe von außen, Abwehren von Malware, Einhalten der datenschutzrechtlichen Pflichten, regelmäßige Backups, Berücksichtigen von Handlungsanleitungen, Best Practice-Vorgaben und Wirtschaftsprüfungsstandards.

Werden diese Vorschriften missachtet, drohen unter anderem zivilrechtliche Schadensersatzansprüche von Geschädigten gegen das Unternehmen und Geldbußen. Dazu kommen ein schlechteres Kreditrating, der Verlust des Versicherungsschutzes oder der Ausschluss bei der Vergabe öffentlicher Aufträge. Obendrein warten noch Straftatbestände wie das Ausspähen von Daten, das Verletzen des Post- oder Fernmeldegeheimnisses oder der Verrat von Geschäfts- und Betriebsgeheimnissen. Werden Namen von Mitarbeitern und Kunden oder persönliche E-Mail-Adressen gespeichert, muss auch das Bundesdatenschutzgesetzes (BDSG) befolgt werden. Dessen Paragraf 9 schreibt vor, dass diverse Kontrollen einzurichten sind, darunter Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Verfügbarkeitskontrolle, Datentrennung oder Eingabekontrolle.

Bei Verstößen werden nicht die IT-Verantwortlichen belangt, sondern zuerst die genannten Führungspersonen. Daher schlafen alle Beteiligten ruhiger, wenn kritische IT-Sicherheitsthemen von einem Dienstleister betreut werden. Diesen kann der Kunde - ein entsprechendes Vertragswerk vorausgesetzt - im Problemfall haftbar machen. Bevor es so weit kommt, muss das jeweilige Unternehmen klären, welche Aufgaben künftig extern erledigt werden sollen: Geht es um die Überwachung der Firewalls aus der Ferne oder um Backup und E-Mail-Archivierung? Oder sollen Spam und Malware abgewehrt werden, geht es um strategische Beratung rund ums Risikomanagement oder um das Abklopfen von selbst entwickelten Anwendungen auf mögliche Sicherheitslücken (Penetration Testing)?

Backups sind Vorschrift

Nur wenige Unternehmensverantwortliche wissen, dass auch Backups inzwischen gesetzlich vorgeschrieben sind. Immer wieder zitiert in diesem Zusammenhang wird ein Urteil des Oberlandesgerichts Hamm vom 1. Dezember 2003. Diesem zufolge gehöre es "im gewerblichen Anwenderbereich heute zu den vorauszusetzenden Selbstverständlichkeiten, dass eine zuverlässige, zeitnahe und umfassende Datenroutine die Sicherung gewährleistet".

Unternehmen müssen ihre IT-Infrastruktur demnach gegen unbeabsichtigte Informationsveränderungen sichern. Das heißt: Unbefugte dürfen unter keinen Umständen Daten verändern können. Heikle Daten (Buchhaltungsunterlagen oder digitale, rechtsverbindliche Erklärungen) sind hinreichend gegen Angriffe von außen zu schützen. Tägliche Backups sind demnach unabdingbar, um die Vorgaben zu erfüllen. Vollsicherungen sollten mindestens einmal pro Woche passieren.

Werden die Backups nicht regelgerecht angefertigt, ist dem betroffenen Unternehmen im Falle eines durch Datenverlust entstehenden Schadens ein "haftungsüberdeckendes Mitverschulden" anzukreiden. Das hat unter Umständen zur Folge, dass es keinen Versicherungsschutz gibt, wenn verlorene Daten mangels Backup nicht wiederhergestellt werden können.

Hybrider Backup-Ansatz

Wenn ein Unternehmen mit dem Thema Backup keinen externen Dienstleister beauftragen will, dann sollte zumindest ein hybrides Backup-Konzept in Betracht gezogen werden. Bei diesem wird ein lokales Backup mit einem Cloud-Dienst kombiniert.

Es ist also eine erschwingliche Möglichkeit, Daten sicher auszulagern, ohne dabei in zusätzliche Storage-Hardware investieren zu müssen. Die Online-Sicherung ergänzt das lokale Sicherungskonzept, um bei einem Komplettausfall der Hardware auf eine externe Sicherung aller Daten und Systeme zugreifen zu können. Das Wiederherstellen einzelner Dateien oder kompletter System-Images erfolgt dabei aus der Cloud-Umgebung.

Ideal ist das Konzept für kleine oder mittelständische Unternehmen: Stehen im Enterprise-Umfeld in der Regel kritische Systeme in räumlich getrennten Rechenzentren und werden repliziert, bleibt den Administratoren in kleineren Firmen oft nur, eine aktuelle Bandkopie bei sich zu Hause aufzubewahren. Mit dem Auslagern in die Cloud verschwindet dieser fehlerträchtige Schritt aus dem Backup-Prozess.

Rechtlich sichere Partnerwahl

Soll sich ein externer Dienstleister um die Datensicherung des Unternehmens kümmern, müssen erneut rechtliche Vorgaben beachtet werden. Ähnlich sieht es aus bei Managed VPNs, Managed Firewalls oder dem Analysieren von Logfiles durch Dritte. In all diesen Fällen stehen dem Managed-Security-Service-Partner die vom Gesetz geschützten persönlichen Daten der Kunden und Mitarbeiter des Unternehmens offen. Dabei spielt es keine Rolle, ob die Datensicherung per Cloud-Dienst passiert ober ob die Daten lokal beim Kunden gespeichert sind. Denn die Mitarbeiter des Dienstleisters haben jederzeit Zugriff auf die Bestände.

Ein Auftraggeber muss sich nach Paragraf 11 BDSG dann von den Fähigkeiten und der technischen Organisation des Dienstleisters überzeugen, wenn im Rahmen des Projekts Zugriffe auf personenbezogene Daten nicht auszuschließen sind. Auch gilt es, unbefugte Zugriffe auf die gespeicherten Daten, deren unerlaubte Weitergabe und eigenmächtige Änderungen zu unterbinden.

Überhaupt sind personenbezogene Daten ein organisatorisches Problem bei Outsourcing-Projekten: Ein Unternehmen, das solche Daten speichert, muss die Betroffenen jederzeit und kostenlos schriftlich über Inhalt der Daten und Zweck der Speicherung informieren. Hat ein Dienstleister Zugriff, kann dieser Anbieter ebenfalls zur Auskunft verpflichtet sein.

Fazit

Trotz dieser zu umschiffenden Klippen sind Managed Security Services aus Sicht des Unternehmens ein Gewinn. Denn die Melange aus ständig neuen Gefahren und den komplexen Compliance-Richtlinien und Gesetzen macht professionelle Hilfe quasi unverzichtbar.

Bei Projektstart hilft die Erfahrung der externen Partner, schnell sicherzustellen, ob alle Prozesse der aktuellen Rechtslage entsprechen. Läuft das Projekt erst einmal, ist der Partner in der Pflicht, sich um neue Gesetze und Vorgaben beziehungsweise deren Einhaltung zu sorgen. Führungsmannschaft und IT-Team des Kunden können sich dann wieder auf ihre eigentlichen Aufgaben konzentrieren.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (ph)